1. Što je GDPR?

GDPR je kratica za General Data Protection Regulation, odnosno Opću uredbu o zaštiti osobnih podataka koja je u Europskoj uniji stupila na snagu u travnju 2016. godine. Osim što uvodi gotovo ista pravila zaštite osobnih podataka u cijeloj Uniji, trebala bi nam svima donijeti potpunu kontrolu nad osobnim podacima, pravo na pristup i prenosivost podataka, pravo na zaborav i transparentnu komunikaciju s tvrtkama.

2. Kad kreće primjena GDPR-a?

Od 25. svibnja ove godine. Stroža pravila - koja predviđaju i poveće kazne za tvrtke koje ih se ne pridržavaju - vrijedit će ne samo za sve europske tvrtke, već i one koje posluju s EU-om.

3. Na kakve se podatke odnosi GDPR?

GDPR pokriva vrlo širok spektar osobnih podataka: ime i prezime, fizičku i adresu e-pošte, IP i MAC adrese, GPS lokaciju, RFID tagove i internetske kolačiće, telefonski broj, fotografije, videosnimke pojedinaca, OIB, otisak prsta, snimku šarenice oka, genetske podatke, podatke o obrazovanju i stručnoj spremi, plaći, kreditnom zaduženju, računima u banci, zdravlju, seksualnoj orijentaciji te glas i druge na temelju kojih je moguće utvrditi identitet.

4. Na što će GDPR obvezivati tvrtke i organizacije?

Primjerice, morat će osigurati pristanak potrošača na korištenje podataka, držati zapise o svim obrađenim podacima, nuditi detaljne opise svrhe prikupljanja podataka... Zatraži li potrošač pristup svojim podacima, tvrtka ili organizacija će to morati osigurati u roku od 30 dana.

5. Što je pravo na zaborav?

GDPR daje pravo na zahtjev za brisanje podataka ako više nisu relevantni (recimo, tvrtka koja ih pohranjuje više ih ne treba za ono za što ih je prikupila). Dozvolu za prikupljanje podataka koju ste dali možete povući u bilo kojem trenutku i ne morate objašnjavati zašto. Tvrtka ili organizacija je dužna obavijestiti druge tvrtke ili organizacije (recimo, Google) kako moraju obrisati sve poveznice na kopije tih podataka, kao i same kopije podataka.

6. Što ako želite prebaciti podatke?

Tvrtke i organizacije bit će dužne u pojedinim slučajevima omogućiti prebacivanje podataka novom operatoru. I to brzo - u roku od četiri tjedna - u formatu u kojem će biti dostupni idućoj tvrtki ili organizaciji koja će ih obrađivati.

7. Što ako hakeri upadnu u sustav i ukradu podatke?

U slučaju povrede ili zlorabe podataka tvrtka je obvezna obavijestiti Agenciju za zaštitu osobnih podataka i pojedince na koje se incident odnosi u roku od 72 sata. Dužna je navesti kakvi su podaci bili metom napada, koliko je približno ljudi pogođeno napadom, koje su moguće posljedice te koje su mjere poduzete ili će biti poduzete.

8. Što će raditi službenik za zaštitu podataka?

Za provedbu Uredbe bit će zadužen službenik za zaštitu podataka. Osim same uredbe, morat će između ostalog poznavati poslovne procese organizacije i vrste obrade osobnih podataka, razumjeti organizacijske i tehničke mjere zaštite osobnih podataka, rad informacijskih sustava te metodologiju procjene i upravljanja rizicima. Pratit će poštivanje Uredbe i srodne regulative, kao i politiku zaštite osobnih podataka.

9. Tko mora imenovati službenika za zaštitu podataka?

Sve organizacije što se bave postupcima obrade podataka koji zbog svoje prirode, opsega ili svrhe iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri ili opsežnih obrada posebnih kategorija osobnih podataka i podataka u vezi s kaznenim osudama i kažnjivim djelima. Također, moraju ga imenovati tijela javne vlasti ili javna tijela, osim sudova koji djeluju u okviru svoje sudske nadležnosti.

10. Kolike će biti kazne za one koji prekrše odredbe GDPR-a?

Organizacijama koje prekrše odredbe Uredbe prijete kazne koje mogu doseći i četiri posto godišnjeg prometa na svjetskoj razini ili 20 milijuna eura (odnosno oko 150 milijuna kuna), što god od navedenog bude veće u danom trenutku. Također, može im se dogoditi da dobiju potpunu zabranu obrade podataka.